Privacyverklaring

SlimHuys.nl verwerkt persoonsgegevens om je dienst te kunnen leveren. Hieronder lees je welke gegevens we verzamelen, waarom, met wie we ze delen, hoe lang we ze bewaren en welke rechten je hebt onder de Algemene Verordening Gegevensbescherming (AVG).

1. Verwerkingsverantwoordelijke

Verantwoordelijke voor de verwerking van je persoonsgegevens is:

Naam: SlimHuys.nl
Adres: Kroon 18, 5406 DJ Uden
KvK: 50535889
E-mail: info@slimhuys.nl (zet "Privacy" in de onderwerpregel voor AVG-verzoeken)

2. Welke gegevens we verwerken

Afhankelijk van hoe je SlimHuys gebruikt verwerken we de volgende gegevens:

Account-gegevens: e-mailadres, voornaam, achternaam (optioneel), telefoonnummer (optioneel), taalvoorkeur, tijdzone.
Authenticatie: gehasht wachtwoord, MFA-secret (versleuteld), back-up-codes (gehasht), magic-link-tokens (gehasht).
Sessie- en beveiligingsdata: IP-adres, user-agent, sessie-cookies, login-tijdstippen, audit-log van gevoelige acties (wachtwoord-wijziging, MFA-aanpassing).
Verbruiksdata via P1: kwartier-aggregaten van afname en teruglevering uit je slimme meter (alleen wanneer je de Home Assistant-integratie hebt gekoppeld).
Integratie-tokens: versleutelde access- en refresh-tokens van Frank Energie, Tibber, Zonneplan e.d. — alleen wanneer je die integratie zelf koppelt.
API-keys: gehashte sleutels die je zelf genereert om je P1-data via Bearer-auth te pushen.

Wachtwoorden worden uitsluitend opgeslagen als bcrypt-hashes (12 rondes). MFA-secrets en integratie-tokens worden versleuteld met onze applicatie-encryptiesleutel.

3. Doelen en grondslagen

We verwerken je gegevens voor de volgende doelen, met telkens een specifieke wettelijke grondslag:

Uitvoering van de dienst (account, verbruiksinzicht, leveranciers-vergelijking) — grondslag: uitvoering van de overeenkomst (Art. 6 lid 1 sub b AVG).
Beveiliging en fraudepreventie (audit-log, MFA, rate-limiting) — grondslag: gerechtvaardigd belang (Art. 6 lid 1 sub f).
Communicatie (transactionele e-mails over verificatie, wachtwoord-reset, magic-link) — grondslag: uitvoering van de overeenkomst.
Wettelijke verplichtingen (administratie, indien van toepassing) — grondslag: wettelijke verplichting (Art. 6 lid 1 sub c).

We verwerken geen bijzondere persoonsgegevens (gezondheid, religie, e.d.) en passen geen geautomatiseerde besluitvorming met juridische gevolgen toe.

4. Met wie we gegevens delen

SlimHuys schakelt onderstaande verwerkers in. Met elk hebben we (of sluiten we) een verwerkersovereenkomst conform Art. 28 AVG:

Hetzner Online GmbH (Helsinki, Finland) — hosting van de applicatie en database. Gegevens blijven binnen de EU/EER.
Postmark (Wildbit, LLC) — voor het versturen van transactionele e-mails (verificatie, magic-link, wachtwoord-reset). Postmark verwerkt enkel het e-mailadres en de mail-inhoud die we via hun API versturen.
ENTSO-E (Transparency Platform) — bron van publieke EPEX day-ahead-prijzen. Hier delen wij geen persoonsgegevens; we ontvangen alleen tarief-data.

Daarnaast koppel je zelf integraties met derden zoals Frank Energie, Tibber of Zonneplan. We slaan dan alleen de access-tokens versleuteld op; je kunt de koppeling op elk moment intrekken via je accountpagina.

Wij verkopen je gegevens nooit aan derden en gebruiken ze niet voor advertenties.

5. Doorgifte buiten de EU

De kernverwerking (account, P1-data, audit-log) blijft binnen de Europese Unie — de servers staan bij Hetzner in Helsinki, Finland.

Eén verwerker zit (deels) buiten de EU: Postmark is een dienst van Wildbit / ActiveCampaign, gevestigd in de Verenigde Staten. Voor het versturen van transactionele e-mails geven we het e-mailadres en de inhoud van de mail aan Postmark door. Voor deze doorgifte naar de VS gelden passende waarborgen conform Art. 45/46 AVG: het EU-US Data Privacy Framework (adequaatheidsbesluit van de Europese Commissie d.d. 10 juli 2023) en/of de Standard Contractual Clauses die in Postmark's verwerkersovereenkomst zijn opgenomen. Meer details vind je in Postmark's eigen privacy-statement.

Mochten we in de toekomst andere verwerkers buiten de EU inschakelen, dan zorgen we vooraf voor vergelijkbare waarborgen.

6. Bewaartermijnen

Account-data: zolang je account actief is. Na verwijdering: maximaal 30 dagen in back-ups, daarna definitief weg.
Audit-log: 365 dagen, daarna geanonimiseerd of verwijderd.
Sessie-cookies: 120 minuten inactief, daarna verlopen. Je kunt actieve sessies beheren via Account → Sessies.
P1-verbruiksdata: zolang je account actief is. Op verzoek per maand verwijderbaar.
Magic-link-tokens en wachtwoord-reset-tokens: 15 minuten respectievelijk 1 uur, daarna verlopen.

7. Cookies en lokale opslag

SlimHuys gebruikt alleen technisch noodzakelijke cookies en localStorage-opslag voor de werking van de site. Geen tracking, geen advertentie-cookies, geen externe analytics-scripts.

laravel_session — anonieme sessie-cookie (HttpOnly, SameSite=Lax). Nodig om je ingelogd te houden.
XSRF-TOKEN — beschermt tegen Cross-Site Request Forgery bij formulier-acties.
localStorage.slimhuys.public_supplier en slimhuys.supplier — onthoudt welke leverancier je voor de tarief-vergelijker hebt gekozen. Lokaal opgeslagen, blijft binnen je browser.

Omdat dit allemaal functionele cookies/opslag zijn, hoeven we geen cookie-banner te tonen. Je kunt ze altijd verwijderen via je browser-instellingen.

8. Je rechten onder de AVG

Je hebt het recht om:

Inzien welke gegevens we van je hebben (zie ook /app/account voor de directe inzage).
Corrigeren of aanvullen.
Verwijderen ("recht op vergetelheid").
Beperken van de verwerking.
Bezwaar maken tegen verwerking op basis van gerechtvaardigd belang.
Dataportabiliteit — je verbruiksdata in een machineleesbaar formaat ontvangen.
Klacht indienen bij de Autoriteit Persoonsgegevens wanneer je vindt dat we de AVG niet naleven.

Mail je verzoek naar info@slimhuys.nl met onderwerp "Privacy". We reageren binnen 30 dagen.

9. Beveiliging

HTTPS verplicht, met HSTS (max-age 1 jaar, includeSubDomains, preload).
Wachtwoorden gehasht met bcrypt (12 rondes).
Multi-factor authenticatie beschikbaar voor je account.
Sessie-rotatie bij wachtwoord-wijziging; alle andere sessies vervallen automatisch.
Rate-limiting op login- en MFA-endpoints.
Audit-log van gevoelige acties.
Database back-ups dagelijks, encrypted at rest.

10. Wijzigingen aan deze verklaring

SlimHuys mag deze privacyverklaring wijzigen. De laatste versie staat altijd op slimhuys.nl/privacy; ingrijpende wijzigingen melden we ook per e-mail aan ingelogde gebruikers.

Laatst bijgewerkt: 1 mei 2026.